java代碼混淆器
由於Java程序運行時是動態連接的,因此編譯成的目標文件中包含有符號表, 使得Java程序很輕易被反編譯,混淆器可以打亂class文件中的符號信息,使反向工程變得非常困難。
㈡ 請教,誰會用Java代碼混淆器ProGuard4.8
混淆器負責把一個軟體轉成讓人看不懂.
前提是原來的軟體正確無誤.
當它發現軟體中含有不正常的寫法,
就會要求先改好, 才能進行混淆.
若強制用'-ignorewarnings' 選項, 可以直接進行混淆,
但出來的結果很可能會有錯誤, 要自求多福.
㈢ 除了proguard還有免費的java混淆器嗎
我們做java開發的一般都會遇到如何保護我們開發的代碼問題。java語言由於是基於jvm上面,所以反編譯class文件很很容易。假如我們做了一個web程序,並把這個web程序發布給客戶。實際上,客戶是很容易反編譯出我們的源代碼出來,包括所有的src文件和jsp文件等等。
那麼,如何保護我們的源代碼,實際上,應該有幾種方法可以使用:1、使用代碼混淆器 2、重載應用伺服器的classloader
對於第一種方法來說,現在外面有很多開源工具可以使用,個人認為最好用的當屬proguard莫屬。proguard主要是易用易學。而且提供的功能也挺多。下面是個人一點使用心得
(1)、從網上download proguard工具,proguard工具主要包含是幾個jar文件和一些example,下載地址http://proguard.sourceforge.net/
(2)、將裡面的幾個jar文件添加到類路徑下面。當然,也可以不添加,但是下面在做混淆的時候,必須指定classpath,使在做混淆的過程中,能否訪問該類
(3)、編寫一個配置文件,主要是混淆器的一些參數。比如,下面是一個例子
-injars platform.jar
-outjars platform_out.jar
-libraryjars <java.home>/lib/rt.jar
-libraryjars ibatis-common-2.jar
-libraryjars ibatis--2.jar
-libraryjars ibatis-sqlmap-2.jar
-libraryjars junit-3.8.1.jar
-libraryjars d:/j2ee.jar
-libraryjars struts.jar
-libraryjars commons-lang.jar
-libraryjars D:/0working/coreproject/byislib/jasperreports-0.6.1.jar
-libraryjars commons-beanutils.jar
-printmapping proguard.map
-overloadaggressively
-defaultpackage ''
-allowaccessmodification
-dontoptimize
-keep public class *
{
public protected *;
}
-keep public class org.**
-keep public class it.**
各個參數的含義參考proguard文檔,該文檔非常詳細,上手很容易
OK,到此就完成了代碼混淆,打開產生的jar包可以看到,多了好多a、b、c之類的類文件。說明混淆結果已經成功。將原jar刪除、運行產生的混淆jar包,一切正常!
常見問題:使用過程中個人遇到了幾個問題,開始也是找了很久才解決
a. 內存溢出異常: 主要是proguard在做混淆的時候,吃了很多內存,因此,在運行混淆器的時候,可以增加內存,比如 java -mx512m .....
b.棧溢出異常: 主要是proguard在做混淆的時候,會對一些代碼進行優化,若遇到一些相對復雜的方法時,可能會拋出此異常。對付的辦法是增加配置參數-dontoptimize,如上面的配置例子所示
對於第二種方法,重載伺服器的classloader的原理是這樣。 首先我們通過一定演算法把class文件加密; 然後寫我們自己的classloader,替換伺服器的classloader。 這樣,我們可以讀取class文件,通過我們自己的演算法反加密成正確的class,然後再次進行load。這個方式還沒應用起來,這幾天個人正在研究,有什麼新成果會在此做一些總結。
ProGuard是一個開源的項目,主頁:http://proguard.sourceforge.net/,目前最新的版本是3.3.2.。載入混淆器是非常簡單的,只需要解壓縮proguard3.3.2.zip,然後在 J2ME->Packing->Obfuscation 標簽中選擇 Proguard 的安裝目錄。如下圖所示,在這里可以對需要在混淆過程中保留的類名進行配置,MIDlet 類的名稱必須保留,以便設備的 Java 運行時環境(JRE)能夠找到執行的入口點。
http://images.csdn.net/20050726/image027.jpg,It』s about the above pic.
另一篇文檔
ProGuard是一款免費的Java類文件壓縮器、優化器和混淆器。它能發現並刪除無用類、欄位(field)、方法和屬性值(attribute)。它也能優化位元組碼並刪除無用的指令。最後,它使用簡單無意義的名字來重命名你的類名、欄位名和方法名。經過以上操作的jar文件會變得更小,並很難進行逆向工程。這里提到了ProGuard的主要功能是壓縮、優化和混淆,下面我就先介紹一下這些概念,然後再介紹ProGuard的基本使用方法。
l 什麼是壓縮:
Java源代碼(.java文件)通常被編譯為位元組碼(.class文件)。而完整的程序或程序庫通常被壓縮和發布成Java文檔(.jar文件)。位元組碼比Java源文件更簡潔,但是它仍然包含大量的無用代碼,尤其它是一個程序庫的時候。ProGuard的壓縮程序操作能分析位元組碼,並刪除無用的類、欄位和方法。程序只保留功能上的等價,包括異常堆棧描述所需要的信息。
l 什麼是混淆:
通常情況下,編譯後的位元組碼仍然包含了大量的調試信息:源文件名,行號,欄位名,方法名,參數名,變數名等等。這些信息使得它很容易被反編譯和通過逆向工程獲得完整的程序。有時,這是令人厭惡的。例如像ProGuard這樣的混淆器就能刪除這些調試信息,並用無意義的字元序列來替換所有名字,使得它很難進行逆向工程,它進一步免費的精簡代碼。除了異常堆棧信息所需要的類名,方法名和行號外,程序只會保留功能上的等價。通過以上的了解,你應該明白為什麼需要混淆了。
l ProGuard支持那些種類的優化:
除了在壓縮操作刪除的無用類,欄位和方法外,ProGuard也能在位元組碼級提供性能優化,內部方法有:
² 常量表達式求值
² 刪除不必要的欄位存取
² 刪除不必要的方法調用
² 刪除不必要的分支
² 刪除不必要的比較和instanceof驗證
² 刪除未使用的代碼
² 刪除只寫欄位
² 刪除未使用的方法參數
² 像push/pop簡化一樣的各種各樣的peephole優化
² 在可能的情況下為類添加static和final修飾符
² 在可能的情況下為方法添加private, static和final修飾符
² 在可能的情況下使get/set方法成為內聯的
² 當介面只有一個實現類的時候,就取代它
² 選擇性的刪除日誌代碼
實際的優化效果是依賴於你的代碼和執行代碼的虛擬機的。簡單的虛擬機比有復雜JIT編譯器的高級虛擬機更有效。無論如何,你的位元組碼會變得更小。
仍有一些明顯需要優化的技術不被支持:
² 使非final的常量欄位成為內聯
² 像get/set方法一樣使其他方法成為內聯
² 將常量表達式移到循環之外
² Optimizations that require escape analysis
ProGuard是一個命令行工具,並提供了圖形化用戶界面,它也可以結合Ant或J2ME Wireless Toolkit使用。通過ProGuard得到的更精簡的jar文件意味著只需要更小的存儲空間;網路傳輸更省時;裝載速度更快和佔用更小的內存空間。另外,ProGuard非常快速和高效,它僅僅只花費幾秒鍾和幾兆的內存在處理程序。它處理的順序是先壓縮,然後優化,最後才進行混淆。The results section presents actual figures for a number of applications.與其他Java混淆器相比,ProGuard的主要優勢可能是它的基於模版文件的簡單配置。一些直觀的命令行選項或一個簡單的配置文件已經足夠了。例如,下面的配置選項保護了jar文件里的所有applets:
-keep public class * extends java.applet.Applet
用戶指南里說明了所有可用的選項,並以大量的例子為你演示這些功能強大的配置選項。
上面談到了ProGuard的很多好處,現在我們就來看看如何在程序中使用ProGuard吧,之前也提到了ProGuard可以用命令行、圖形界面、Ant等來執行和處理程序,同時也提到了配置文件,下面我們一起來看如何使用:
用命令行執行ProGuard的命令如下:
java –jar proguard.jar options……
具體的選項可以參考ProGuard的用戶指南,你也可以把這些屬性寫在配置文件里;運行時,我們只需要指定這個配置文件就行了,例如:
java –jar proguard.jar @config.pro
而配置文件的格式也是要按照ProGuard提供的格式來寫的,這個可以參考ProGuard例子里的配置文件來配置適合你的應用系統的ProGuard配置文件。ProGuard提供了圖形界面的配置和運行程序,你可以在界面上配置你想要的參數,然後運行即可。前面提到的要手動寫的配置文件也可以用圖形界面來配置和生成。
如果你要在Ant里運行ProGuard,只需要添加一一個如下的target即可:
<target name="proguard" depends="init">
<taskdef resource="proguard/ant/task.properties" classpath="${lib.dir}/proguard/proguard.jar" />
<proguard configuration="${src.dir}/config.pro" />
</target>
你只需要制定lib.dir和src.dir屬性就行了,同樣的,這里也用了proguard配置文件,跟上面提到的是一樣的。建議大家把ProGuardGUI當成一個生成配置文件的向導來使用,這樣我們只需要修改配置文件而不用重新寫一個配置文件。
如果你覺得ProGuard還不錯,那就快把它加入你的項目里吧。
第三文檔
這是一個不應該在開源社區出現的東西,但它的的確確是一個開源的項目,正像它的名字一樣,Proguard,即Program Guard(程序衛士),它代表了開源的相對面--代碼保護。
作為JAVA這樣的高級語言,編譯的產物只是相對源代碼的一個概念而已,位元組碼雖然不像源代碼那樣易懂,但絕不是不可能進行反編譯的,針對JAVA的反編譯產品很多,如CAVAJ,JAD等等。面對反編譯產品的不斷出現,將代碼視為財富的那些開發者,又何去何從。
混淆器正是在這種背景下應運而生,既然不可能完全地將拒絕反編譯,那就讓他們去反編譯吧,只要反編譯的結果別人不能直接使用不就行了嗎?只要將代碼搞混,讓別人拿到了反編譯的結果也看不懂,甚至不能編譯。
混淆的方法有很多,主要是以下幾方面。
更名,將私有類,私有的成員,方法體內部的變數名改名,改成a,b,c等等,甚至1,2,3(代碼中不允許不等於成果物中不允許)
改變邏輯的流向,如將if條件取反,if/else對換
等價代碼,如將循環改成GOTO
無效代碼,插入不可及的無用代碼
Proguard是一個非常優秀的開源的JAVA混淆器,可以在http://proguard.sourceforge.net/下載到,現在就讓我一起來看一下Proguard.
以3.2版為例,釋放壓縮包,我們看到,作為開源項目就有docs,lib,src,sample文件夾,在此就不一一介紹了。
進入lib目錄,內有proguard.jar,如果要自己有混淆器的外殼,或作ANT插件的話,會用到它,詳細情況可以參考Proguard的文檔。
我們要看的是proguardgui.jar,這是Proguard的圖形界面,我們使用JDK打開,注意是JDK,不是JRE。
點選Input/Output標簽,選擇要混淆的JAR包(注意是JAR包),輸出JAR包,以及用到的所有類庫。
點選Obfuscation標簽,選中不需要混淆的類(要被反射的類絕對不能被混淆)
點選Process標簽,Process按鈕,等著看結果吧。
Proguard中還包括了代碼優化和代碼整理的功能,不是本文討論范圍,有興趣的就自己研究吧)
只混淆方面的選項
使用此種方式,如果a-z使用過,會轉向aa.class,如下圖配置界面
1,4,6,9,10,11,12
源代碼
package org.zwm.pub;
public class Bru {
/**
* @param args
*/
public static void main(String[] args) {
// TODO Auto-generated method stub
System.out.println(showMsg());
}
public static String showMsg() {
return "You are my sun";
}
}
反編譯後的代碼
// Decompiled by Jad v1.5.8g. Copyright 2001 Pavel Kouznetsov.
// Jad home page: http://www.kps.com/jad.html
// Decompiler options: packimports(3)
package org.zwm.pub;
import java.io.PrintStream;
public class Bru
{
public Bru()
{
}
public static void main(String args[])
{
System.out.println(PK0304140008000800fZ());
}
public static String PK0304140008000800fZ()
{
return "You are my sun";
}
}
㈣ 用java實現js混淆器
簡單的思路就是把所有的回車空格換行等一應格式全部去掉
然後把所有變數名字全都替換成無任何意義的簡單字母和符號
這樣可以讓大多數人看的很頭大了
㈤ java混淆器是做什麼的
樓上只說了其一,沒說其二: 混淆器的還有一個作用那就是對代碼進行壓縮,比如一個j2me程序打完包是400KB,使用混淆器混淆後就被壓縮成100KB的文件,這對於手機這種內存空間比較寶貴的設備來說顯得尤為必須。
㈥ JAVA 有對源代碼進行混淆的混淆器么
不需要對源代碼混淆。class有這種功能的,在J2ME中混淆是必須的,結果跟你說的一樣,不過原理不是你那麼走的,混淆以後的class反編譯也會讓人看不懂,全部變成了a,b,c,d這樣的名字。
㈦ javaweb項目做混淆的詳細步驟
混淆的工具很多,最常用的為retroguard.
Java 代碼編譯後生成的 .class 中包含有源代碼中的所有信息(不包括注釋),尤其是在其中保存有調試信息的時候。所以一個按照正常方式編譯的 Java .class 文件可以非常輕易地被反編譯。反編譯工具有很多種,其中非常強大的一種是 jad。
為了避免出現這種情況,保護開發者的勞動,又有一種叫做 Java 混淆器的工具被開發出來。Java 混淆器的作用是對編譯好的代碼進行混淆,使得其無法被反編譯或者反編譯後的代碼混亂難懂。Java 混淆器也有很多種,其中比較強大的一種是 RetroGuard(只說比較強大是因為我對其功效還是有些懷疑的)。
這里我介紹一下 RetroGuard 的使用方法。
將下載的 .tar.gz 或者 .zip 文件解壓。有用的只有 retroguard.jar 一個文件,其它的是源代碼和文檔。
RetroGuard 是針對 jar 文件做混淆的。使用之前需要先配置一下。可以手工編輯配置文件,更好的方法是使用 RetroGuard 提供的 GUI 工具來生成配置文件。使用方法如下:
java -classpath retroguard.jar;xxx.jar;yyy.zip;... RGgui
然後在 GUI 的 Wizard 中設置各個參數。上面的 -classpath 中應該列出要混淆的 jar 所依賴的所有的包。
RGgui 的詳細使用方法可以看 RetroGuard 的文檔 docs.html。
配置文件生成後,就可以運行 RetroGuard 進行混淆了。使用方法如下:
java -classpath xxx.jar;yyy.zip;... RetroGuard vvv-unofb.jar vvv.jar vvv.rgs vvv.log
其中 vvv-unofb.jar 是未混淆的 jar 文件,vvv.jar 是混淆後生成的 jar 文件,vvv.rgs 是配置文件,vvv.log 是日誌文件。預設的配置文件名稱為 script.rgs,預設的日誌文件名稱為 retroguard.log。
在生成配置文件時需要注意的是:
1、所有 public 的類名、方法名、變數名應該全部保留。因為所有設置為 public 的內容代表了整個包對外表現的介面。若某個內容不想為外界訪問,就不應該設置為 public 的。
2、若包中某個類使用了 java.lang.Class 或者 java.lang.ClassLoader 中的某個方法載入了一個類,若這個類在包外,不需要特別處理;若這個類在包內,則需要保留這個類的類名,否則混淆後會找不到這個類。
3、在包中的所有調試信息(源文件名、行號、變數/參數信息等等)應全部刪除。
㈧ javacompile混淆器怎麼混淆後的class文件還是可以被反編譯出來呢求高手指點....
混淆的作用並不是使class文件不能被反編譯
混淆的作用是使反編譯的代碼更難讓人閱讀,比如一些計算金錢的敏感邏輯里有如下的代碼(新金額=舊金額*某個倍率):
double newMoney=oldMoney*rate;
如果這樣的代碼直接編譯成class文件,別人反編譯這個class文件就能很清楚的看到金錢的計算關系,混淆後代碼可能就變成這樣的了:
double a=b*c;
這樣的代碼別人即使反編譯了,也是很難看懂其中的邏輯關系的